読売新聞のOpenSSLに関する報道が酷いと話題に
暗号化ソフトSSLに欠陥、悪用狙い攻撃相次ぐ : IT&メディア : 読売新聞(YOMIURI ONLINE)
このニュースについていろいろ突っ込みどころがありすぎると話題になっていますので見てみましょう
1.タイトル「暗号化ソフトSSLに欠陥、悪用狙い攻撃相次ぐ」
やだなぁ…これじゃあ、まるでSSLに欠陥があるみたいじゃないですか?
2.データ暗号化ソフトの「オープンSSL」
どうやら、読売新聞は「OpenSSL」で一つのソフト名だと認識できてない模様。
しかもデータ暗号化じゃなくて、データ通信暗号化ですよ・ω・;
「同ソフトは、クレジットカード番号や住所、電話番号などを暗号化するもので」…っていつからそうなった!?
3.同ソフトの欠陥は2年前から指摘
『同ソフトの欠陥は2年前から指摘されてきたが、同ソフトを提供するウェブサイトが7日に欠陥を公表し、修正した最新版を公開している』って書いてるけど、この機能自体実装されたのが2年前だよ?
これじゃあ、欠陥がある機能が指摘されてたのに実装されたことになるよ?
一方、Windows 8.1など、すべてのWindows に見つかったMS14-019 なんて、20年近く前からある脆弱性なんですが、「Windows の欠陥は 20年前から指摘されてきたが、同ソフトを提供するウェブサイトが7日に、欠陥を公表し修正したパッチを公開している」になるよね!・ω・
暗号化ソフト欠陥、NSAは2年前から認識-情報収集に利用 - Bloomberg
| 4月11日(ブルームバーグ):インターネットで広く使われる暗号化ソフトに見つかった深刻な欠陥「ハートブリード(心臓出血)」について、米国家 安全保障局(NSA)は少なくとも2年前から認識しておりながら放置し、情報収集のために定期的に利用していたと事情に詳しい関係者2人が明らかにした。 安全保障上の利益を優先してこれを隠ぺいした |
こっちはNSAは2年前から認識してたけど、指摘せずに隠ぺいして利用していたという記事
OpenSSL:ネットセキュリティー2年間“重大な穴” - 毎日新聞
毎日新聞は『欠陥は2年前に配布されたOpenSSLの新機能に見つかり』ってちゃんと書いてるよ
4.攻撃は9日以降、断続的に確認されていて、多いときには1時間に約350件に上った
これって、チェックサイトが公開されて、みんなが脆弱性ないか確認したせい、ちゃいますのん?
Test your server for Heartbleed (CVE-2014-0160)
Heartbleed脆弱性検査
攻撃手法をまねて、メモリ内の情報取得できてるか確認してるみたいなので、攻撃と同じ・ω・
Translate
Comments